Det er ikke bare mulig, men også enkelt for uvedkommende å bruke en nettleser til blant annet å skru av eller på klimaanlegget i biler av typen Nissan Leaf. Det er også Norges mest solgte elbil.
Dette skriver den australske sikkerhetsspesialisten Troy Hunt i et blogginnlegg. Sårbarheten ble oppdaget av en nordmann som ikke ønsker å bli identifisert. Vedkommende, som Hunt kaller for «Jan», var i januar deltaker på en sikkerhetsworkshop i Oslo.
Fra hotellrommet
Etter å ha fått noen tips fra Hunt om sårbare programmeringsgrensesnitt (API), utførte han på sitt hotellrom en test av NissanConnect-appen som kan brukes til å samhandle med Leaf-en. Ved å sende datatrafikken gjennom en proxy, kunne Jan se at appen kommuniserer med Nissans servere via HTTP-baserte nettadresser (URL-er).
Dette er selvfølgelig ikke så uvanlig, men det viste seg at tilgangen til dette programmeringsgrensesnittet ikke er begrenset på noen måte. Det vil si at det ikke kreves noen form for autentisering for å bruke API-et.
Fem-seks sifre
For å knytte forespørselen til riktig bil, inkluderer URL-en en VIN-kode (Vehicle Identification Number). Denne koden er ganske lang, men det meste av nummeret er felles for alle bilene. Mye tyder på at bare de siste fem-seks sifrene er unike for hver bil.
Med så få unike VIN-er, er det med riktig verktøy en smal sak å teste alle de mulige kombinasjonene.
I noen tilfeller er VIN-koden også synlig utenfra - rett i frontruten på bilen.
URL-ene som kan kontrollere funksjoner er forskjellig avhengig av hvor i verden bilen er solgt, ifølge Hunt.
Dette betyr likevel at en person som kjenner nettadressen til Leaf solgt i eksempelvis Norge, i teorien kan få tilgang til samtlige biler av denne typen i landet. I tester som Hunt og andre har gjort, er dog ikke suksessraten fullt så høy.
I videoen over er Leaf-bilen til sikkerhetsspesialisten Scott Helme forsøkskanin. Helme har lang erfaring med blant annet penetrasjonstesting.
– Denne API-tingen er ren galskap. Det er ikke engang slik at de bare glemte autentisering eller ikke sjekket det. Det er faktisk ikke blitt implementert. Det ble bygge, med hensikt, uten sikkerhet, uttaler Helme ifølge Hunt.
Heller ikke den norske sikkerhetsrådgiveren Per Thorsheim er imponert.
– Det er en smal sak å gjette seg fram til disse fem- eller sekssifrede numrene, sier han digi.no.
Til BBC News, som også skriver om dette, sier Nissan at selskapet foreløpig ikke ønsker å kommentere saken.
Mulighetene
Bortsett fra å skru klimaanlegget av og på, er det tilsynelatende ingenting fysisk som kan kontrolleres. Blant annet kan man motta informasjon om de siste kjøreturene som har blitt gjort med bilen, samt få en tilstandsrapport om batteriet.
I en diskusjonstråd knyttet til Facebook-profilen til Thorsheim, kommenteres saken av flere sikkerhetsinteresserte.
«I think Nissan just wanted a way to track the fleet and had to find a way to sell that to customers. CarWings was the answer (now NissanConnect) and that's why it's so terrible.», skriver Helme.
Tilsynelatende er det heldigvis lite formasjon som kan brukes til å identifisere eieren av bilen. Det eneste unntaket er at responsen som mottas når man skrur av eller på klimaanlegget, inkluderer en bruker-id. Denne kan inneholde i alle fall deler av navnet på bileieren.
Men i alle fall i Australia finnes det en tjeneste hvor man kan bruke bilens VIN til å sjekke heftelser på bruktbiler. I den tilsvarende, norske tjenesten må man derimot benytte registreringsnummer eller understellsnummer.
I blogginnlegget nevner Hunt flere ressurser som er fritt tilgjengelige på nettstedet GitHub. Dette inkluderer blant annet et Python-skript som kan brukes til å koble til og bruke det aktuelle programmeringsgrensesnittet. Dette inkluderer også regionskoder for å administrere biler i ulike deler av verden.
Har fått beskjed
Hunt opplyser at han har informert Nissan om oppdagelsene flere ganger siden han sendte alle detaljer til Nissan Information Security Threat Intelligence i USA den 23. januar. Selskapet har bekreftet at de jobber med en løsning, men med dagens offentliggjøring har Hunt tydeligvis ment at selskapet har fått nok tid.
Dette begrunnes blant annet med at sikkerhetsproblemet allerede blir diskutert i offentlige diskusjonsfora.
Hunt skriver at dette tilfellet både på godt og vondt er annerledes enn Jeep-hackingen Charlie Miller og Chris Valasek gjorde i fjor. Det gode er at de potensielle konsekvensene ikke er så alvorlige. I verste fall kan man skremme bilisten eller tømme batteriet bilen.
Det mindre gode er at det er så enkelt å få til.
Skremmende utvikling
Samtidig er dette nok et bevis på at det er mange og store sikkerhetsutfordringer knyttet til tingenes internett, og at det er på tide at leverandørene av slikt internettilkoblet utstyr begynner å ta sikkerhet på alvorlig.
Spesielt skuffende er det at billeverandører, som i høy grad må forholde seg til sikkerhet på andre områder, glemmer å sikre IT-systemene i bilen.
– Jeg synes det er en skremmende utvikling, spesielt at fysiske produkter ikke testes skikkelig før de slippes ut i markedet. Det burde ha vært oppdaget dersom Nissan hadde utført en skikkelig sikkerhets- og revisjonstest. På generell basis er det fristende å si at produkter og tjenester altfor ofte lanseres uten at nødvendig testing har vært utført i forkant, sier Per Thorsheim.
– Hadde det vært mulig å gi gass eller trykke inn bremsepedalene, ville saken naturligvis vært langt mer alvorlig, men det er ille nok at hvem som helst kan overvåke kjøreboka og skru av eller på varmeapparatet, påpeker han.
Posisjonsdata
Under Mobile World Congress, som arrangeres i Barcelona denne uke, kunngjorde Nissan mer funksjonalitet som kommer til NissanConnect-systemet. Dette inkluderer en My Car Finder-funksjon, som viser bilens posisjon på et kart.
«I really hope that Nissan resolve this issue before the API starts to disclose the current location of the vehicle. That has far greater risks associated with it.», skriver Helme i den nevnte Facebook-diskusjonen.